首页   快速返回

web开发安全知识点整理     所属分类 security
web常见安全漏洞
XSS CSRF sql注入

CSRF Cross Site Request Forgery 跨站点请求伪造

CSRF防御手段

1 尽量使用POST,限制GET
2 浏览器Cookie策略
3 加验证码
4 Referer Check
5 Anti CSRF Token


Anti CSRF Token 步骤

1  用户访问表单页面。
2  服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。
3  在页面表单附带上Token参数
4  用户提交请求后, 服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

   这个Token必须是随机的,不可预测的。


xss corss-site scripting  跨站脚本攻击

XSS的防御

输入过滤,输出过滤转义,HttpOnly防止偷cookie


sql注入 

使用 PreparedStatement
输入参数过滤

上一篇     下一篇
redhat linux和centos的区别与联系

java中的队列介绍

http get 与 post 请求区别

白帽子讲Web安全读书笔记

一段英文七个版本的中文翻译

程序员之歌之燃烧我的计算机